信息安全體系風險評估課件

1、信息安全體系風險評估,信息安全體系風險評估,基本概念 重要意義 工作方式 幾個關(guān)鍵問題,信息安全體系風險評估,2,1、什么是風險評估,信息安全風險 人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響。 信息安全風險評估 依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響,什么是風險評估,信息安全體系風險評估,風險評估的基本概念,信息安全體系風險評估,對基本

2、概念的解釋,業(yè)務戰(zhàn)略：即一個單位通過信息技術(shù)手段實現(xiàn)的工作任務。一個單位的業(yè)務戰(zhàn)略對信息系統(tǒng)和信息的依賴程度越高，風險評估的任務就越重要。 為什么要首先談業(yè)務戰(zhàn)略？ 這是信息化的目的，一個信息系統(tǒng)如果不能實現(xiàn)具體的工作任務，那么這個信息系統(tǒng)是沒有用處的。信息安全不是最終目的，信息安全要服務于信息化,信息安全體系風險評估,對基本概念的解釋（續(xù),資產(chǎn)：通過信息化建設積累起來的信息系統(tǒng)、信息、生產(chǎn)或服務能力、人員能力等。 這是需要保護的對象。只有資產(chǎn)得到保護，單位的業(yè)務戰(zhàn)略才可以實現(xiàn)。 資產(chǎn)價值：資產(chǎn)是有價值的，資產(chǎn)價值可通過資產(chǎn)的敏感程度、重要程度和關(guān)鍵程度來表示。 這里指的資產(chǎn)價值不一定是購買時

3、的貨幣價值。資產(chǎn)價值與業(yè)務戰(zhàn)略聯(lián)系緊密。 信息安全的投入是有成本的，信息安全投入應適當，與資產(chǎn)的價值相適宜,信息安全體系風險評估,對基本概念的解釋（續(xù),威脅：一個單位的信息資產(chǎn)的安全可能受到的侵害。威脅由多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動機、行為、可能性和后果。 為什么要談威脅？ 如果沒有威脅，就不會有安全事件,信息安全體系風險評估,示例：常見人為威脅,信息安全體系風險評估,對基本概念的解釋（續(xù),脆弱性：信息資產(chǎn)及其安全措施在安全方面的不足和弱點。脆弱性也常常被稱為漏洞。 威脅是外因，而脆弱性是內(nèi)因。外因要通過內(nèi)因起作用。脆弱性是資產(chǎn)本身所具有的（例如系統(tǒng)沒有打補?。?，威脅要

4、利用脆弱性才能造成安全事件,信息安全體系風險評估,脆弱性/威脅對（示例,信息安全體系風險評估,對基本概念的解釋（續(xù),事件：如果威脅主體能夠產(chǎn)生威脅，利用資產(chǎn)及其安全措施的脆弱性，那么實際產(chǎn)生危害的情況稱之為事件。 在描述一個信息安全事件時，要明確： 安全事件是如何產(chǎn)生的（與威脅的屬性和脆弱性有關(guān)）？ 事件造成了什么后果（與資產(chǎn)有關(guān)）？ 事件的后果有多大（與資產(chǎn)的價值有關(guān)）？ 這個事件發(fā)生的可能性有多大（與威脅和脆弱性存在的可能性、威脅的動機等屬性有關(guān)）,信息安全體系風險評估,對基本要素的解釋（續(xù),風險：由于系統(tǒng)存在的脆弱性，人為或自然的威脅導致安全事件發(fā)生的可能性及其造成的影響。它由安全事件發(fā)

5、生的可能性及其造成的影響這兩種因素來衡量。 為什么要提出風險的概念？ 安全事件的發(fā)生是有概率的。不能只根據(jù)安全事件的后果便決定信息安全的投入和安全措施的強度。對后果嚴重的極小概率事件，不能盲目投入。因此，要綜合考慮安全事件的后果影響及其可能性，兩者的綜合便是“風險”的概念。 高風險要優(yōu)先得到處理,信息安全體系風險評估,對基本要素的解釋（續(xù),殘余風險：采取了安全措施，提高了信息安全保障能力后，仍然可能存在的風險。 為什么提出殘余風險的概念？ 風險不可能完全消除。信息技術(shù)在發(fā)展，外部環(huán)境在變化，信息系統(tǒng)本身也要發(fā)生變化，信息安全的動態(tài)性使得不可能完全消除未來發(fā)生安全事件的風險。 風險不必要完全消除

6、。資產(chǎn)的價值以及信息安全的投入之間的比例關(guān)系決定了對有些安全風險，采取措施反而比不采取措施更糟糕。 此外，由于某些原因（例如時間、資金、業(yè)務、安全措施不當?shù)仍颍?，仍有些風險需要在以后繼續(xù)控制和處理,信息安全體系風險評估,對基本要素的解釋（續(xù),殘余風險應受到密切監(jiān)視,因為它可能會在將來誘發(fā)新的事件。 所謂安全的信息系統(tǒng)，并不是指“萬無一失”的信息系統(tǒng)，而是指殘余風險可以被接受的安全系統(tǒng),信息安全體系風險評估,對基本概念的解釋（續(xù),安全需求：為保證單位的業(yè)務能夠正常開展，在信息安全保障措施方面提出的要求。 安全措施：對付威脅，減少脆弱性，保護資產(chǎn)，限制意外事件的影響，檢測、響應意外事件，促進災難

7、恢復和打擊信息犯罪而實施的各種實踐、規(guī)程和機制的總稱。 資產(chǎn)的重要性和對風險的意識會導出安全需求;安全需求要通過安全措施來得以滿足，且是有成本的。要根據(jù)威脅的屬性和脆弱性的具體情況，有針對性地選擇和實施安全措施,信息安全體系風險評估,風險評估各個要素間的相互作用,信息安全體系風險評估,對各要素相互作用的解釋,通過安全措施來對資產(chǎn)加以保護，對脆弱性加以彌補，從而可降低風險； 實施了安全措施后，威脅只能形成殘余風險。 某些情況下，也可能會有多個脆弱性被同時利用。 脆弱性與威脅是獨立的，威脅要利用脆弱性才能造成安全事件。 某些脆弱性可以沒有對應的威脅，這可能是由于這個威脅不在考慮的范圍內(nèi)，或者這個威

8、脅的影響極小，以至忽略不計。 采取安全措施的目的是控制風險，將殘余風險限制在能夠接受的程度上,信息安全體系風險評估,內(nèi)容簡介,基本概念 重要意義 工作方式 幾個關(guān)鍵問題,信息安全體系風險評估,國家對信息安全風險評估工作的要求,國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見的通知（中辦發(fā)200327號）在“實行信息安全等級保護”任務中提出：“要重視信息安全風險評估工作，對網(wǎng)絡與信息安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網(wǎng)絡與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風險等因素，進行相應等級的安全建設和管理。,信息安全體系風險評估,國家對信息安全風險評估工作的要求,全國信息安

9、全保障工作會議要求：“開展信息安全風險評估和檢查。抓緊研究制定基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)風險評估的管理規(guī)范，并組織力量提供技術(shù)支持。根據(jù)風險評估結(jié)果，進行相應等級的安全建設和管理，特別是對涉及國家機密的信息系統(tǒng)，要按照黨和國家有關(guān)保密規(guī)定進行保護。對涉及國計民生的重要信息系統(tǒng)，要進行必要的信息安全檢查。,信息安全體系風險評估,信息安全風險評估的重要意義,風險評估是信息系統(tǒng)安全的基礎(chǔ)性工作 只有在正確、全面地了解和理解安全風險后，才能決定如何處理安全風險，從而在信息安全的投資、信息安全措施的選擇、信息安全保障體系的建設等問題中做出合理的決策。 持續(xù)的風險評估工作可以成為檢查信息系統(tǒng)本身乃至信息系

10、統(tǒng)擁有單位的績效的有力手段，風險評估的結(jié)果能夠供相關(guān)主管單位參考，并使主管單位通過行政手段對信息系統(tǒng)的立項、投資、運行產(chǎn)生影響，促進信息系統(tǒng)擁有單位加強信息安全建設,信息安全體系風險評估,信息安全風險評估的重要意義（續(xù),風險評估是分級防護和突出重點的具體體現(xiàn) 信息安全建設必須從實際出發(fā)，堅持分級防護、突出重點。風險評估正是這一要求在實際工作中的具體體現(xiàn)。從理論上講，不存在絕對的安全，實踐中也不可能做到絕對安全，風險總是客觀存在的。安全是風險與成本的綜合平衡。盲目追求安全和完全回避風險是不現(xiàn)實的，也不是分級防護原則所要求的。要從實際出發(fā)，堅持分級防護、突出重點，就必須正確地評估風險，以便采取有效

11、、科學、客觀和經(jīng)濟的措施,信息安全體系風險評估,加強風險評估工作是當前信息安全工作的客觀需要和緊迫需求 由于信息技術(shù)的飛速發(fā)展，關(guān)系國計民生的關(guān)鍵信息基礎(chǔ)設施的規(guī)模越來越大，同時也極大地增加了系統(tǒng)的復雜程度。發(fā)達國家越來越重視風險評估工作，提倡風險評估制度化。他們提出，沒有有效的風險評估，便會導致信息安全需求與安全解決方案的嚴重脫離。在我國目前的國情下，為加強宏觀信息安全管理，促進信息安全保障體系建設，就必須加強風險評估工作，并逐步使風險評估工作朝著制度化的方向發(fā)展,信息安全風險評估的重要意義（續(xù),信息安全體系風險評估,為什么要提出風險評估的概念,信息安全體系風險評估,內(nèi)容簡介,基本概念 重要

12、意義 工作方式 幾個關(guān)鍵問題,信息安全體系風險評估,風險評估流程,確定評估范圍 資產(chǎn)的識別和影響分析 威脅識別 脆弱性評估 威脅分析 風險分析 風險管理,信息安全體系風險評估,否,是,否,是,風險評估的準備,已有安全措施的確認,風險計算,風險是否接受,保持已有的控制措施 施施施,選擇適當?shù)目刂拼胧┎⒃u估殘余風險,實施風險管理,脆弱性識別,威脅識別,資產(chǎn)識別,是否接受殘余風險,風險識別,評估過程文檔,評估過程文檔,風險評估結(jié)果記錄,評估結(jié)果文檔,風險評估流程,信息安全體系風險評估,資產(chǎn)分類方法,信息安全體系風險評估,資產(chǎn)分類方法,信息安全體系風險評估,資產(chǎn)識別模型,信息安全體系風險評估,資產(chǎn)保密

13、性賦值,信息安全體系風險評估,資產(chǎn)完整性賦值,信息安全體系風險評估,資產(chǎn)可用性賦值,信息安全體系風險評估,資產(chǎn)等級計算公式,AV=F(AC,AI,AA) Asset Value 資產(chǎn)價值 Asset Confidentiality 資產(chǎn)保密性賦值 Asset Integrity 資產(chǎn)完整性賦值 Asset Availability 資產(chǎn)可用性賦值 例1：AV=MAX(AC,AI,AA) 例2：AV=AC+AI+AA 例3：AV=ACAIAA,信息安全體系風險評估,資產(chǎn)價值賦值,信息安全體系風險評估,威脅來源列表,信息安全體系風險評估,威脅分類表,信息安全體系風險評估,威脅賦值,信息安全體系風險

14、評估,脆弱性識別內(nèi)容表,信息安全體系風險評估,風險分析原理,L,F,R,信息安全體系風險評估,風險值=R(A,T,V)= R(L(T,V),F(Ia,Va ) 其中,R 表示安全風險計算函數(shù); A 表示資產(chǎn);T 表示威脅;V 表示脆弱性; Ia 表示安全事件所作用的資產(chǎn)價值;Va 表示脆弱性嚴重程度; L 表示威脅利用資產(chǎn)的脆弱性導致安全事件發(fā)生的可能性; F 表示安全事件發(fā)生后產(chǎn)生的損失。 一般風險計算方法：矩陣法和相乘法,風險計算方法,信息安全體系風險評估,矩陣法,矩陣法風險計算,信息安全體系風險評估,風險等級表,信息安全體系風險評估,43,降低風險（Reduce Risk） 采取適當?shù)目?/p>

15、制措施來降低風險，包括技術(shù)手段和管理手段，如安裝防火墻，殺毒軟件，或是改善不規(guī)范的工作流程、制定業(yè)務連續(xù)性計劃，等等。 避免風險（Avoid Risk） 通過消除可能導致風險發(fā)生的條件來避免風險的發(fā)生，如將公司內(nèi)外網(wǎng)隔離以避免來自互聯(lián)網(wǎng)的攻擊，或是將機房安置在不可能造成水患的位置，等等。 轉(zhuǎn)移風險（Transfer Risk） 將風險全部或者部分地轉(zhuǎn)移到其他責任方，例如購買商業(yè)保險。 接受風險（Accept Risk） 在實施了其他風險應對措施之后，對于殘留的風險，組織可以有意識地選擇接受,風險處置策略,信息安全體系風險評估,44,絕對安全（即零風險）是不可能的。 實施安全控制后會有殘留風險或

16、殘存風險（Residual Risk）。 為了確保信息安全，應該確保殘留風險在可接受的范圍內(nèi)： 殘留風險Rr 原有的風險R0 控制R 殘留風險Rr 可接受的風險Rt 對殘留風險進行確認和評價的過程其實就是風險接受的過程。決策者可以根據(jù)風險評估的結(jié)果來確定一個閥值，以該閥值作為是否接受殘留風險的標準,殘留風險評價,信息安全體系風險評估,等級保護下風險評估實施框架,保護對象劃分和定級,網(wǎng)絡系統(tǒng)劃分和定級,資產(chǎn),脆弱性,威脅,風險分析,基本安全要求,等級保護管理辦法、指南 信息安全政策、標準、法律法規(guī),安全需求,風險列表,安全規(guī)劃,風險評估,信息安全體系風險評估,結(jié)合等保測評的風險評估流程,信息安全

17、體系風險評估,47,47,風險評估項目實施過程,信息安全體系風險評估,48,48,風險評估常用方法,檢查列表：評估員根據(jù)自己的需要，事先編制針對某方面問題的檢查列表，然后逐項檢查符合性，在確認檢查列表應答時，評估員可以采取調(diào)查問卷、文件審查、現(xiàn)場觀察和人員訪談等方式。 文件評估：評估員在現(xiàn)場評估之前，應該對受評估方與信息安全管理活動相關(guān)的所有文件進行審查，包括安全方針和目標、程序文件、作業(yè)指導書和記錄文件。 現(xiàn)場觀察：評估員到現(xiàn)場參觀，可以觀察并獲取關(guān)于現(xiàn)場物理環(huán)境、信息系統(tǒng)的安全操作和各類安全管理活動的第一手資料。 人員訪談：與受評估方人員進行面談，評估員可以了解其職責范圍、工作陳述、基本安

18、全意識、對安全管理獲知的程度等信息。評估員進行人員訪談時要做好記錄和總結(jié)，必要時要和訪談對象進行確認。 技術(shù)評估：評估員可以采用各種技術(shù)手段，對技術(shù)性控制的效力及符合性進行評估。這些技術(shù)性措施包括：自動化的掃描工具、網(wǎng)絡拓撲結(jié)構(gòu)分析、本地主機審查、滲透測試等,信息安全體系風險評估,49,49,評估員檢查工具檢查列表,檢查列表（Checklist）是評估員進行評估時必備的自用工具，是評估前需準備的一個重要工作文件。 在實施評估之前，評估員將根據(jù)分工情況來準備各自在現(xiàn)場評估所需的檢查列表，檢查列表的內(nèi)容，取決于評估主題和被評估部門的職能、范圍、評估方法及要求。 檢查列表在信息安全管理體系內(nèi)部評估中

19、起著以下重要作用： 明確與評估目標有關(guān)的抽樣問題； 使評估程序規(guī)范化，減少評估工作的隨意性和盲目性； 保證評估目標始終明確，突出重點，避免在評估過程中因迷失方向而浪費時間； 更好地控制評估進度； 檢查列表、評估計劃和評估報告一起，都作為評估記錄而存檔,信息安全體系風險評估,50,常用技術(shù)工具清單,技術(shù)漏洞掃描工具 針對操作系統(tǒng)、典型應用軟件漏洞（Nessus 、綠盟極光、啟明天鏡） 針對網(wǎng)絡端口（Nmap） 針對數(shù)據(jù)庫漏洞(安信通、安恒) 針對Web漏洞（IBM Appscan、HP WebInspect WVS） 針對網(wǎng)絡數(shù)據(jù)流（WireShark、Ethereal,信息安全體系風險評估,5

20、1,信息安全風險評估分為自評估、檢查評估兩種形式。自評估為主，自評估和檢查評估相互結(jié)合、互為補充。自評估和檢查評估可依托自身技術(shù)力量進行，也可委托第三方機構(gòu)提供技術(shù)支持。 自評估可由發(fā)起方實施或委托風險評估服務技術(shù)支持方實施。由發(fā)起方實施的評估可以降低實施的費用、提高信息系統(tǒng)相關(guān)人員的安全意識，但可能由于缺乏風險評估的專業(yè)技能，其結(jié)果不夠深入準確；同時，受到組織內(nèi)部各種因素的影響，其評估結(jié)果的客觀性易受影響。委托風險評估服務技術(shù)支持方實施的評估，過程比較規(guī)范、評估結(jié)果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識技能及業(yè)務了解的限制，對被評估系統(tǒng)的了解，尤其是在業(yè)務方面的特殊要求存在一定的局

21、限。但由于引入第三方本身就是一個風險因素，因此，對其背景與資質(zhì)、評估過程與結(jié)果的保密要求等方面應進行控制,風險評估的形式,信息安全體系風險評估,52,自評估中的“自”不僅僅是指自已做評估的“自”，也不僅僅是指自愿做評估的“自”。由于“誰主管誰負責”，出于對自身信息系統(tǒng)的安全責任考慮，信息系統(tǒng)主管者應定期對系統(tǒng)進行風險評估，具體實施時可以依托自身的評估隊伍進行，也可委托有資質(zhì)的第三方提供評估服務技術(shù)支持，但無論是哪一種形式，責任都是由信息系統(tǒng)主管者自已擔負的。因此，自評估中的“自”的含義是自已負責的“自”。包括自已負責系統(tǒng)的安全、自己發(fā)起對信息系統(tǒng)的風險評估以及自己負責為保障系統(tǒng)安全所做的風險評

22、估的安全等。 此外，為保證風險評估的實施，與系統(tǒng)相連的相關(guān)方也應配合，以防止給其他方的使用帶來困難或引入新的風險也往往較多，因此，要對實施檢查評估機構(gòu)的資質(zhì)進行嚴格管理,風險評估的形式,信息安全體系風險評估,53,檢查評估,檢查評估是指信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展的風險評估。 檢查評估可依據(jù)本標準的要求，實施完整的風險評估過程,風險評估的形式,信息安全體系風險評估,54,國信辦20065號文件指出：信息安全風險評估應貫穿于網(wǎng)絡與信息系統(tǒng)建設運行的全過程。在網(wǎng)絡與信息系統(tǒng)的設計、驗收及運行維護階段均應當進行信息安全風險評估。如在網(wǎng)絡與信息系統(tǒng)規(guī)劃設計階段，應通過信息安全風

23、險評估進一步明確安全需求和安全目標,信息系統(tǒng)生命周期各階段的風險評估,信息安全體系風險評估,55,規(guī)劃階段的風險評估 設計階段的風險評估 實施階段的風險評估 運行維護階段的風險評估 廢棄階段的風險評估,信息系統(tǒng)生命周期各階段的風險評估,信息安全體系風險評估,56,規(guī)劃階段風險評估的目的是識別系統(tǒng)的業(yè)務戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。規(guī)劃階段的評估應能夠描述信息系統(tǒng)建成后對現(xiàn)有業(yè)務模式的作用，包括技術(shù)、管理等方面，并根據(jù)其作用確定系統(tǒng)建設應達到的安全目標。 設計階段的風險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產(chǎn)重要性，提出安全功能需求。設計階段的風險評估結(jié)果應對設計方案中所提供的安全

24、功能符合性進行判斷，作為采購過程風險控制的依據(jù),信息系統(tǒng)生命周期各階段的風險評估,信息安全體系風險評估,57,實施階段風險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進行風險識別，并對系統(tǒng)建成后的安全功能進行驗證。根據(jù)設計階段分析的威脅和制定的安全措施，在實施及驗收時進行質(zhì)量控制。 基于設計階段的資產(chǎn)列表、安全措施，實施階段應對規(guī)劃階段的安全威脅進行進一步細分，同時評估安全措施的實現(xiàn)程度，從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影響。實施階段風險評估主要對系統(tǒng)的開發(fā)與技術(shù)/產(chǎn)品獲取、系統(tǒng)交付實施兩個過程進行評估,信息系統(tǒng)生命周期各階段的風險評估,信息安全體系風險評估,58,運行

25、維護階段風險評估的目的是了解和控制運行過程中的安全風險，是一種較為全面的風險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面,信息系統(tǒng)生命周期各階段的風險評估,信息安全體系風險評估,59,當信息系統(tǒng)不能滿足現(xiàn)有要求時，信息系統(tǒng)進入廢棄階段。根據(jù)廢棄的程度，又分為部分廢棄和全部廢棄兩種。 廢棄階段風險評估著重在以下幾方面： 1、確保硬件和軟件等資產(chǎn)及殘留信息得到了適當?shù)奶幹茫⒋_保系統(tǒng)組件被合理地丟棄或更換； 2、如果被廢棄的系統(tǒng)是某個系統(tǒng)的一部分，或與其他系統(tǒng)存在物理或邏輯上的連接，還應考慮系統(tǒng)廢棄后與其他系統(tǒng)的連接是否被關(guān)閉； 3、如果在系統(tǒng)變更中廢棄，除對廢棄部分外，還應

26、對變更的部分進行評估，以確定是否會增加風險或引入新的風險； 4、是否建立了流程，確保更新過程在一個安全、系統(tǒng)化的狀態(tài)下完成,信息系統(tǒng)生命周期各階段的風險評估,信息安全體系風險評估,內(nèi)容簡介,基本概念 重要意義 工作方式 幾個關(guān)鍵問題,信息安全體系風險評估,1）風險評估的完整性,漏洞掃描、IDS監(jiān)視、滲透性測試、調(diào)查問卷等工作只是風險評估中的步驟之一，尚不能稱之為完整的風險評估。在早期，很多企業(yè)和機構(gòu)聲稱的風險評估服務，實質(zhì)上是在以偏概全。 當然，根據(jù)具體情況，在進行風險評估時可以有所側(cè)重。例如，如果某單位曾經(jīng)實施過風險評估，其業(yè)務此后也沒有發(fā)生變化，那么再次評估時，該單位有可能只需關(guān)注新的漏洞就可以了。這時，風險評估就可以簡化為脆弱性評估,信息安全體系風險評估,2）風險評估的最終目的,風險評估結(jié)